IN-POS 9. Informační bezpečnost

• Principy řízení bezpečnosti v organizaci, řízení rizik,
• politika informační bezpečnosti,
• systém řízení informační bezpečnosti,
• hodnocení úrovně informační bezpečnosti.

• PV080, PV017

1. Prevence
2. Detekce
3. Reakce

• Aktiva: data, zdroje,… (s hodnotou)
• Zranitelnost (systému)
  • s útočníkem vzniká hrozba
• Útok: realizace hrozby
  • výsledek úspěšných nebo neúspěšný
• Riziko: pravděpodobnost útoku (uplatnění hrozby)

= minimalizace rizik

4 fáze:

1. Ohodnocení rizik: analýza a vyhodnocení
2. Zvládání rizik: výběr a implementace opatření snižujících rizika
3. Akceptace rizik: rozhodování o přijatelnosti rizika informovanost o rizicích

• Zvážit, co všechno by mělo být chráněno.
• Vyhodnotit, jaké hrozby hrozí ochraňovaným hodnotám.
  • na základě empirických poznatků o problémech, jiných útocích na podobné hodnoty
• Chybná analýza způsobí chybně navržená bezpečnostní opatření.
• Častěji spíše odhad rizik, než skutečná analýza.

• kvalitativní
  • ➕ velmi srozumitelný výstup (nejčastěji v $$$)
• kvalitativní
  • diskrétní stupnice (ne $$$)
  • ➕ jednodušší, automatizovatelný postup
  • ➖ méně srozumitelné výsledky

  ALE = SLE x ARO 

• Řešíme, zda použít:
  • preventivní řešení
  • nápravná řešení
  • případně akceptovat riziko, nebo se pouze pojistit

• Zajištění bezpečnosti je proces, nikoliv stav či cíl.

• Bezpečnostní opatření: omezují rizika
  • odstranění není možné nebo dostupné
• Bezpečnostní mechanizmy: implementace bezpečnostních opatření
• Bezpečnostní politika: specifikace způsobu uplatňování bezpečnostních opatření.
  • CO a JAK mají opatření dosáhnout
  • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.

• Co a jak mají dosáhnout ochranná opatření.
• Cíl – minimalizace (kontrola) rizik.
• Strategie – jak dosáhnout cíle – použití bezpečnostních funkcí
  • Zahrnuje požadavky, pravidla a postupy, určující způsob ochrany a zacházení s ochraňovanými hodnotami.
• Většinou psána normálním jazykem, lze ale použít i nějaký druh formalismu.

• Celková bezpečnostní politika
  • Určitá míra nezávislosti na použitých IT.
  • Citlivá data, zodpovědnosti, základ infrastruktury.
  • Horizont nad 5 let.
• Systémová bezpečnostní politika
  • Zohledňuje použité IT, konkretizace CBP.
  • Horizont obvykle cca 2-3 roky.
• Další specifické politiky: provozní, personální, intranetová,…

• ITSP = IT Security Policy
• Zavedena obvykle v přirozeném jazyce.
• Horizont cca 5-10 let.
• ochrana informačních aktiv

• Obsahuje:
  • hodnocení rizik
  • cíle opatření
  • prohlášení o aplikovatelnosti (specifikace vhodných opatření)
  • klasifikace informací
  • plán zachování kontinuity

= (Information Security Management System) ISMS je systém procesů zaměřený na přístup organizace k Rizikům a musí být „šitý“ na míru konkrétní organizaci.

• nadřazené, nebo součástí ITSP
• předpoklady ISMS:
  • vypracovaná BP
  • management prosazuje BP na všech úrovních
  • je implementován měřící systém

• role v rámci ISMS:
  • Nejvyšší management
  • Výkonný ředitel
  • Řídící výbor (bezpečnosti informací)
    • posuzování a schvalování BP
    • kontrola činnosti ISMS
  • Bezpečnostní architekt
  • CISO Chief of Information Security Officer
  • lokální administrátoři systémů

• normy:
  • ISO/IEC 27002: praktiky/tipy pro řízení informační bezpečnosti
  • ISO/IEC 27001: udává, jak navrhnout a vytvořit ISMS

• dokumentace ISMS má 4 části:
  • dokumentácia politiky
  • dokumentácia procedúry
  • pracovní instrukce
  • správy/logy

Hodnocení bezpečnosti se provádí, aby se zjistila dosažená úroveň bezpečnosti.

• Definuje framework, který umožňuje, aby:
  • uživatel specifikoval požadavky na bezpečnost produktu
  • výrobce specifikoval vlastnosit produktu
  • nezávislý hodnotitel posoudil, zda výrobek odpovídá požadavkům
    • následně vydá certifikát
    • certifikační autority: vládní agentury nebo licencované komerční organizace

• Předmět hodnocení (Target of Evaluation, TOE)
  • produkt nebo systém (nebo jeho část), který je předmětem hodnocení
• Specifikace bezpečnosti (Security Target, ST)
  • cílová kombinace komponent spojených s konkrétním produktem nebo systémem
• Profil bezpečnosti (Protection Profile, PP)
  • implementačně nezávislá skupina bezpečn. požadavků určité skupiny TOE

• ➕ usnadnění nasazení a používání bezpečnostních systémů (jednodušší srovnání)
• ➕ usnadnění specifikace požadavků
• ➕ ujasnění požadavků na návrh a vývoj
• ➖ jakákoliv změna TOE znehodnotí/anuluje hodnocení
• ➖ uživatel musí správně porozumět zárukám produktu

• Metody hodnocení:
  • Investigativní
    • produktově/systémově orientováno
    • ➖ těžko opakovatelné (individuální pro každý produkt)
  • Auditní
    • procesně orientovaný
    • ➖ pro koncového uživatele méně přímosné

• Evaluation Assurance Level (EAL):
  • EAL0 - Nevyhovující
  • EAL1 - Funkčně otestovaný TOE
  • EAL2 - Strukturovaně otestovaný TOE
  • EAL3 - Metodicky testovaný a kontrolovaný TOE
  • EAL4 - Metodicky navržený, testovaný a přezkoumaný TOE
  • EAL5 - Semiformálně navržený a testovaný TOE
  • EAL6 - Semiformálně navržený se semiformálně ověřeným návrhem a testovaný TOE
  • EAL7 - Formálně navržený s formálně ověřeným návrhem a testovaný TOE

= The Open Web Application Security Project

• nástroj pro měření úrovně bezpečnosti webových aplikací
• kritéria
  • základní
  • rozšiřující (zaručení vyšší stupně ochrany)

• Kategorie jednotlivých kriterií:
  • Vysoká záruka
    • dané bezpečnostní opatření byly prokázané manuální kontrolou zdrojového kódu aplikace
  • Střední záruka
    • dané bezpečnostní opatření byly prokázané manuální kontrolou funkcionality dané aplikace
  • Nízká záruka
    • dané bezpečnostní opatření byly prokázané automatizovaným testováním kódu nebo aplikace
  • Velmi nízká záruka
    • dané bezpečnostní opatření byly prokázané analýzou návrhu aplikace
  • Žádná
    • aplikace nebyla nijak analyzována

• Celá aplikace se pak ohodnotí podle toho jak kritéria vyhovují.

• slidy pv080
• http://statnice.dqd.cz/mgr-szz:in-bit:7-bit
• http://statnice.dqd.cz/mgr-szz:in-ins:6-ins